开启Cisco交换机DHCP Snooping功能

一、采用DHCP服务的常见问题
    架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了
    网络配置，提高了管理效率。但在DHCP服务的管理上存在一些问题，常见的有：

    ●DHCP Server的冒充
    ●DHCP Server的DOS攻击，如DHCP耗竭攻击
    ●某些用户随便指定IP地址，造成IP地址冲突
   1、DHCP Server的冒充
    由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

    2、DHCP Server的拒绝服务攻击
    通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，如果大量发送的话也会耗尽网络带宽，形成另一种拒绝服务攻击。

    3、客户端随意指定IP地址
    客户端并非一定要使用DHCP服务，它可以通过静态指定的方式来设置IP地址。如果随便指定的话，将会大大提高网络IP地址冲突的可能性。

二、DHCP Snooping技术介绍

    DHCP监听（DHCP Snooping）是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。

    DHCP监听将交换机端口划分为两类：

    ●非信任端口：通常为连接终端设备的端口，如PC，网络打印机等
    ●信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口
    通过开启DHCP监听特性，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如DHCP Offer报文等。而且，并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP 请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。这样就防止了DHCP耗竭攻击。信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口，其他端口设置为非信任端口，就可以防止用户伪造DHCP服务器来攻击网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速，将可以阻止合法DHCP请求报文的广播攻击。DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表（DHCP Snooping Binding）。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer，交换机就会自动在DHCP监听绑定表里添加一个绑定条目，内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。如：

   

Switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- ----------------
00:0F:1F:C5:10:08 192.168.10.131 682463 dhcp-snooping 10 FastEthernet0/1

    这张DHCP监听绑定表为进一步部署IP源防护（IPSG）和动态ARP检测（DAI）提供了依据。说明：

    I. 非信任端口只允许客户端的DHCP请求报文通过，这里只是相对于DHCP报文来说的。其他非DHCP报文还是可以正常转发的。这就表示客户端可以以静态指定IP地址的方式通过非信任端口接入网络。由于静态客户端不会发送DHCP报文，所以DHCP监听绑定表里也不会有该静态客户端的记录。信任端口的客户端信息不会被记录到DHCP监听绑定表里。如果有一客户端连接到了一个信任端口，即使它是通过正常的DHCP方式获得IP地址，DHCP监听绑定表里也不有该客户端的记录。如果要求客户端只能以动态获得IP的方式接入网络，则必须借助于IPSG和DAI技术。

    II.交换机为了获得高速转发，通常只检查报文的二层帧头，获得目标MAC地址后直接转发，不会去检查报文的内容。而DHCP监听本质上就是开启交换机对DHCP报文的内容部分的检查，DHCP报文不再只是被检查帧头了。

    III. DHCP监听绑定表不仅用于防御DHCP攻击，还为后续的IPSG和DAI技术提供动态数据库支持。

    IV. DHCP监听绑定表里的Lease列就是每个客户端对应的DHCP租约时间。当客户端离开网络后，该条目并不会立即消失。当客户端再次接入网络，重新发起DHCP请求以后，相应的条目内容就会被更新。如上面的00F.1FC5.1008这个客户端原本插在Fa0/1端口，现在插在Fa0/3端口，相应的记录在它再次发送DHCP请求并获得地址后会更新为：

  

Switch#show ip dhcp snooping binding
or
Switch#show ip source binding
MacAddress 　　　　　IpAddress　　Lease(sec) 　　Type 　　VLAN 　　　Interface
------------------ 　　　--------------- 　　---------- 　　-------------　　 ---- 　　----------------
00:0F:1F:C5:10:08 192.168.10.131 　691023 　　dhcp-snooping 10 　　FastEthernet0/3

    V.当交换机收到一个DHCPDECLINE或DHCPRELEASE广播报文，并且报文头的源MAC地址存在于DHCP监听绑定表的一个条目中。但是报文的实际接收端口与绑定表条目中的端口字段不一致时，该报文将被丢弃。

    ●DHCPRELEASE报文：此报文是客户端主动释放IP 地址（如Windows 客户端使用ipconfig/release），当DHCP服务器收到此报文后就可以收回IP地址，分配给其他的客户端了
    ●DHCPDECLINE报文：当客户端发现DHCP服务器分配给它的IP地址无法使用（如IP地址发生冲突）时，将发出此报文让DHCP服务器禁止使用这次分配的IP地址。

    VI. DHCP监听绑定表中的条目可以手工添加。

    VII. DHCP监听绑定表在设备重启后会丢失，需要重新绑定，但可以通过设置将绑定表保存在flash或者tftp/ftp服务器上，待设备重启后直接读取，而不需要客户端再次进行绑定

    VIII. 当前主流的Cisco交换机基本都支持DHCP Snooping功能。

三、DHCP Option 82

    当DHCP服务器和客户端不在同一个子网内时，客户端要想从DHCP服务器上分配到IP地址，就必须由DHCP中继代理（DHCP Relay Agent）来转发DHCP请求包。DHCP中继代理将客户端的DHCP报文转发到DHCP服务器之前，可以插入一些选项信息，以便DHCP服务器能更精确的得知客户端的信息，从而能更灵活的按相应的策略分配IP地址和其他参数。这个选项被称为：DHCP relay agent information option（中继代理信息选项），选项号为82，故又称为option 82，相关标准文档为RFC3046。Option 82是对DHCP选项的扩展应用。选项82只是一种应用扩展，是否携带选项82并不会影响DHCP原有的应用。另外还要看DHCP服务器是否支持选项82。不支持选项82的DHCP服务器接收到插入了选项82的报文，或者支持选项82的DHCP服务器接收到了没有插入选项82的报文，这两种情况都不会对原有的基本的DHCP服务造成影响。要想支持选项82带来的扩展应用，则DHCP服务器本身必须支持选项82以及收到的DHCP报文必须被插入选项82信息。从非信任端口收到DHCP请求报文，不管DHCP服务器和客户端是否处于同一子网，开启了DHCP监听功能的Cisco交换机都可以选择是否对其插入选项82信息。默认情况下，交换机将对从非信任端口接收到的DHCP请求报文插入选项82信息。

    当一台开启DHCP监听的汇聚交换机和一台插入了选项82信息的边界交换机（接入交换机）相连时：

    ●如果边界交换机是连接到汇聚交换机的信任端口，那么汇聚交换机会接收从信任端口收到的插入选项82的DHCP报文信息，但是汇聚交换机不会为这些信息建立DHCP监听绑定表条目。
    ●如果边界交换机是连接到汇聚交换机的非信任端口，那么汇聚交换机会丢弃从该非信任端口收到的插入了选项82的DHCP报文信息。但在IOS 12.2（25）SE版本之后，汇聚交换机可以通过在全局模式下配置一条ip dhcp snooping information allow-untrusted命令。这样汇聚交换机就会接收从边界交换机发来的插入选项82的DHCP报文信息，并且也为这些信息建立DHCP监听绑定表条目。
    在配置汇聚交换机下联口时，将根据从边界交换机发送过来的数据能否被信任而设置为信任或者非信任端口。

四、DHCP Snooping的配置

   

Switch(config)#ip dhcp snooping                  //打开DHCP Snooping功能
Switch(config)#ip dhcp snooping vlan 10                  //设置DHCP Snooping功能将作用于哪些VLAN
Switch(config)#ip dhcp snooping verify mac-address                  //检测非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同，以防止DHCP耗竭攻击，该功能默认即为开启
Switch(config-if)#ip dhcp snooping trust                  //配置接口为DHCP监听特性的信任接口，所有接口默认为非信任接口
Switch(config-if)#ip dhcp snooping limit rate 15                  //限制非信任端口的DHCP报文速率为每秒15个包（默认即为每秒15个包）如果不配该语句，则show ip dhcp snooping的结果里将不列出没有该语句的端口，可选速率范围为1-2048

建议：在配置了端口的DHCP报文限速之后，最好配置以下两条命令
Switch(config)#errdisable recovery cause dhcp-rate-limit                  //使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复
Switch(config)#errdisable recovery interval 30                  //设置恢复时间；端口被置为err-disable状态后，经过30秒时间才能恢复

Switch(config)#ip dhcp snooping information option                  //设置交换机是否为非信任端口收到的DHCP报文插入Option 82，默认即为开启状态
Switch(config)#ip dhcp snooping information option allow-untrusted                 //设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文
Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 expiry 692000                  //特权模式命令；手工添加一条DHCP监听绑定条目；expiry为时间值，即为监听绑定表中的lease（租期）

Switch(config)#ip dhcp snooping database flash:dhcp_snooping.db                  //将DHCP监听绑定表保存在flash中，文件名为dhcp_snooping.db
Switch(config)#ip dhcp snooping database tftp://192.168.2.5/Switch/dhcp_snooping.db                  //将DHCP监听绑定表保存到tftp服务器；192.168.2.5为tftp服务器地址，必须事先确定可达。URL中的Switch是tftp服务器下一个文件夹；保存后的文件名为dhcp_snooping.db，当更改保存位置后会立即执行“写”操作。
Switch(config)#ip dhcp snooping database write-delay 30                  //指DHCP监听绑定表发生更新后，等待30秒，再写入文件，默认为300秒；可选范围为15-86400秒
Switch(config)#ip dhcp snooping database timeout 60                  //指DHCP监听绑定表尝试写入操作失败后，重新尝试写入操作，直到60秒后停止尝试。默认为300秒；可选范围为0-86400秒
说明：实际上当DHCP监听绑定表发生改变时会先等待write-delay的时间，然后执行写入操作，如果写入操作失败（比如tftp服务器不可达），接着就等待timeout的时间，在此时间段内不断重试。在timeout时间过后，停止写入尝试。但由于监听绑定表已经发生了改变，因此重新开始等待write-delay时间执行写入操作……不断循环，直到写入操作成功。
Switch#renew ip dhcp snooping database flash:dhcp_snooping.db                  //特权级命令；立即从保存好的数据库文件中读取DHCP监听绑定表。

    五、显示DHCP Snooping的状态

   

Switch#show ip dhcp snooping                  //显示当前DHCP监听的各选项和各端口的配置情况
Switch#show ip dhcp snooping binding                //显示当前的DHCP监听绑定表
Switch#show ip dhcp snooping database                //显示DHCP监听绑定数据库的相关信息
Switch#show ip dhcp snooping statistics                 //显示DHCP监听的工作统计
Switch#clear ip dhcp snooping binding                 //清除DHCP监听绑定表；注意：本命令无法对单一条目进行清除，只能清除所有条目
Switch#clear ip dhcp snooping database statistics                //清空DHCP监听绑定数据库的计数器
Switch#clear ip dhcp snooping statistics                 //清空DHCP监听的工作统计计数器

 

六、DHCP Snooping的实例
    1、单交换机（DHCP服务器和DHCP客户端位于同一VLAN）

   

    环境：Windows2003 DHCP服务器和客户端都位于vlan 10；服务器接在fa0/1，客户端接在fa0/2

    2960交换机相关配置：

   

ip dhcp snooping vlan 10
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to Win2003 DHCP Server
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping trust
!
interface FastEthernet0/2
description : Connect to DHCP Client
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15

    说明：

    ●本例中交换机对于客户端的DHCP 请求报文将插入选项82 信息；也可以通过配置no ip dhcp snooping information option命令选择不插入选项82信息。两种情况都可以。
    ●客户端端口推荐配置spanning-tree portfast命令，使得该端口不参与生成数计算，节省端口启动时间，防止可能因为端口启动时间过长导致客户端得不到IP地址。
    ●开启DHCP监听特性的vlan并不需要该vlan的三层接口被创建。

    2、单交换机（DHCP服务器和DHCP客户端位于同一VLAN）

   

    环境：Cisco IOS DHCP服务器（2821路由器）和PC客户端都位于vlan 10；路由器接在交换机的fa0/1，客户端接在fa0/2

    2960交换机相关配置：

 

ip dhcp snooping vlan 10
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to IOS DHCP Server C2821_Gi0/0
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping trust
!
interface FastEthernet0/2
description : Connect to DHCP Client
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15

    2821路由器相关配置：

  

ip dhcp excluded-address 192.168.10.1 192.168.10.2
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
interface GigabitEthernet0/0
description : Connect to C2960_Fa0/1
ip dhcp relay information trusted
ip address 192.168.10.2 255.255.255.0

    说明：

    I、需要注意的是路由器连接到交换机的端口需要配置ip dhcp relay information trusted，否则客户端将无法得到IP地址。

    这是因为交换机配置了（默认情况）ip dhcp snooping information option，此时交换机会在客户端发出的DHCP请求报文中插入选项82信息。另一方面由于DHCP服务器（这里指Cisco IOS DHCP服务器）与客户端处于同一个VLAN中，所以请求实际上并没有经过DHCP中继代理。

    对于Cisco IOS DHCP服务器来说，如果它收到的DHCP请求被插入了选项82信息，那么它会认为这是一个从DHCP中继代理过来的请求报文，但是它检查了该报文的giaddr字段却发现是0.0.0.0，而不是一个有效的IP地址（DHCP请求报文中的giaddr字段是该报文经过的第一个DHCP中继代理的IP地址，具体请参考DHCP报文格式），因此该报文被认为“非法”，所以将被丢弃。可以参考路由器上的DHCP的debug过程。

    Cisco IOS里有一个命令，专门用来处理这类DHCP请求报文：ip dhcp relay information trusted（接口命令）或者ip dhcp relay information trust-all（全局命令，对所有路由器接口都有效）；这两条命令的作用就是允许被插入了选项82信息，但其giaddr字段为0.0.0.0的DHCP请求报文通过。

    II、如果交换机不插入选项82信息，即配置了no ip dhcp relay information trusted，那么就不会出现客户端无法得到IP地址的情况，路由器也不需要配置ip dhcp relay information trusted命令。

    III、Windows DHCP服务器应该没有检查这类DHCP请求的机制，所以上一个实例中不论交换机是否插入选项82信息，客户端总是可以得到IP地址。

    3、单交换机（DHCP服务器和DHCP客户端位于不同VLAN）

   

    环境：Cisco IOS DHCP服务器（2821路由器）的IP地址为192.168.2.2，位于vlan 2；DHCP客户端位于vlan 10；交换机为3560，路由器接在fa0/1，客户端接在fa0/2